Обзор международного стандарта требований к поставщикам облачных услуг, обрабатывающим персональные данные

Заметка Пола де Херта (Paul de Hert), Вагелиса Папаконстантину (Vagelis Papakonstantinou) и Ирен Камара (Irene Kamara) была опубликована 22 декабря 2014 года на веб-сайте «Консультант по вопросам защиты неприкосновенности частной жизни» (The Privacy Advisor) Международной ассоциации профессионалов по защите неприкосновенности частной жизни (International Association of Privacy Professionals, IAPP).

В то время, как облачные вычисления стремительно развиваются, основную озабоченность у их потенциальных клиентов вызывают вопросы прозрачности, конфиденциальности и контроля.

Облачный бизнес развивается таким образом, что клиентам поставщиков облачных услуг часто не хватает информации о том, как защищаются и обрабатываются перемещаемые в облако данные, и что произойдёт в случае, если они захотят перейти к другому поставщику или если их поставщик прекратит свою деятельность либо изменит положения своей политики.

Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК), подталкиваемые Европейской Комиссией, национальными органами по защите персональных данных и уполномоченными по информации, ответственными за разработку стандартов, содействующих обеспечению защиты персональных данных - разработали новый стандарт ISO/IEC 27018:2014 «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, см.
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:27018:ed-1:v1:en . – О подготовке данного стандарта см. также мой пост http://rusrim.blogspot.ru/2014/03/blog-post_2006.html - Н.Х.).

В рекомендациях ИСО основное внимание уделяется цели стандарта, его основным элементам и потенциальному воздействию. Анализ проведен с европейской точки зрения, на основе европейского законодательства – как текущего, так и ожидаемого в ближайшее время. Кроме того, обсуждаются потребность в новом стандарте и его взаимосвязи с другими стандартами облачных вычислений и защита персональных данных.

Стандарт ISO/IEC 27018 содержит рекомендации для поставщиков облачных услуг, обрабатывающих персональные данные (ПДн) и предлагает ряд мер контроля и управления, которые поставщикам следует реализовать для смягчения конкретных рисков облачных вычислений. Стандарт нацелен на смягчение рисков, присущих публичных облакам. Он должен способствовать укреплению доверия к поставщикам услуг публичных облаков и дать рекомендации относительно того, что необходимо поставщикам следует выполнять в рамках договорных обязательств и законодательно-нормативных требований.

Документ стремится помочь поставщикам облачных услуг выполнять свои договорные обязательства и включает в себя стандарты прозрачности, в том числе уведомление клиентов о запросах правоохранительных органов на доступ к их данным и раскрытие перед клиентами сведений об использования услуг субподрядчиков.

Стандарт, рассматриваемый как основа для соответствия требованиям национального и наднационального законодательства, содержит элементы из европейской Директивы 95/46/EC о защите персональных данных, такие, как принципы качества обработки. Он также включает в себя принцип подотчетности.

Соблюдение требований нового стандарта может быть проверено, и независимые третьи стороны – органы по сертификации могут сертифицировать поставщиков на соответствие его требованиям.

Тем не менее, для завоевания стандартом европейского рынка нужно решить две основные его проблемы: отличие терминологии от терминологии европейского законодательства, и ограниченную область применения, охватывающую только тех поставщиков облачных услуг, что действуют в качестве обработчиков персональных данных (т.е. не являются операторами, и не определяют цели и порядок обработки ПДн – Н.Х.).

Ожидается, что потенциальное положительное воздействие стандарт может оказать посредством поощрения отрасли к принятию мер по соблюдению законодательства о персональных данных и к шагу вперед в деле обеспечения прозрачности во взаимоотношениях между поставщиками облачных услуг и их клиентами.

Практика покажет, как стандарт будет воспринят и оправдаются ли ожидания разработчиков этого документа.

Пол де Херт (Paul de Hert), Вагелис Папаконстантину (Vagelis Papakonstantinou) и Ирен Камара (Irene Kamara)

Источник: сайт «The Privacy Advisor»
https://privacyassociation.org/news/a/an-overview-of-the-international-standard-for-cloud-providers-processing-pii/ 
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498
https://www.iso.org/obp/ui/#iso:std:iso-iec:27018:ed-1:v1:en